Ich habe mal eine Frage zu Firmware-, Treiber-, Bios- und sontigen Herstellerupdates für Computer: auf den Herstellerseiten findet man häufig diverse Updates für alles mögliche, wenn man nach seinem Modell sucht. Teils werden sie soagr mit “kritisch” markiert, also dass dringend empfohlen wird, sie zu installieren. Manche Hersteller bieten ja auch spezielle Software zur automatischen Überprüfung des Gerätes auf Firmwareupdates an - allerdings denke ich mal, dass diese aus Datenschutzgründen nicht zu empfehlen sind. Meine Frage daher: wie stelle ich am besten sicher, dass wichtige herstellerseitige Updates installiert werden bzw. ich davon erfahre - und wie kann ich beurteilen, welche überhaupt wichtig und empfehlenswert sind?
1 „Gefällt mir“
ich habe dazu einen Artikel veröffentlicht. Um entsprechende Seiten zu überwachen verwende ich (lokal im docker) changedetection. Das „Beurteilen“ kann Dir niemand abnehmen. Im Zweifel installiere ich Updates schnell und habe ein Backup um zurück zu können.
2 „Gefällt mir“
Wie macht man denn ein Backup vom BIOS und spielt es dann wieder ein? Da wird dein Rechner nicht mitmachen.
Naja, manchmal kann man die Bios-Updates schon als Datei speichern und je nach Hersteller auch ein älteres einspielen. In meinem Standard-Backup-Tool ist das aber auch nicht vorgesehen. Zumindest liefert changedetection auch dafür Ereignisse wenn sich etwas ändert.
Eines der Themen, die oft unterschätzt werden, ist das von dir angesprochene Software / Firmware Inventar (SBOM) aller Geräte, das den Istzustand beschreibt, mit dem man dann die zur Verfügung gestellten Updates vergleichen kann. Während man den Istzustand der handvoll Geräte daheim an einem Abend in einer Tabelle, Notizblock, etc. dokumentieren kann, so ist das bei größeren Installationen nur noch mit entsprechenden Tools machbar (Kennst / Nutzt du hier Tools?) und auch die Geräte müssen entsprechend konfiguriert werden (z.B. Auslesen von FW Ständen über smnp). Vergleichst du die Ergebnisse, die dir changedetection dann liefert, dann automatisch mit dem Istzustand?
Hab mir meine Mainboard Treiber Seite als Favorit gespeichert und guck da ab und zu mal rein und installiere in unregelmäßigen Abständen die neuste Version.
Mein MB hat zwei UEFI. Kann also bei einem Fehler schnell was korrigieren.
Da meine Updates aber unregelmäßig sind, ist es unwahrscheinlich ein defektes Update zu haben, da dies dann wohl wenige Tage später schon ausgebessert worden wäre.
Den Rest an Treibern macht Linux soweit selbst.
Ich unterstelle, dass unter Windows Firmware entweder via Treiber oder BIOS-Update installiert wird. Hast Du da andere Informationen?
Für alle Software, die unter Windows installiert ist, lese ich die Versionsstände aus der Registry und schreibe diese in .csvs, ein Excel liest/mischt die dann ab und erlaubt Anzeige/Vergleich der installierten Versionen. Einen Vergleich mit der gewünschten Version habe ich aktuell nicht, aber ich habe damit sozusagen die SBOM jeder Windows-Installation einschließlich aller Anwendungen.
Mein Workflow ist, dass ich eine Email von changedetection als Trigger sehe, auf eine neue Version zu prüfen, herunterzuladen, und die in meinem Updatemechanismus bereitzustellen.
Der Updatemechanismus vergleicht dann diese neue, zu installierende Referenzversion mit der aktuell installierten und installiert ggfs. die neue.
Das ist nicht ganz, was man sich wünschen würde, aber ich will nicht unnötig Metadaten pflegen. Und den Updatemechanismus muss ich sowieso testen. Testmaterial gibt es leider dauernd 
Danke Euch, mir ging es ja jetzt nicht um selber installierte Software, sondern wirklich rein um die Hersteller-Updates (Bios, Firmware, Treiber usw). Ich war eigentlich davon ausgegangen, dass all das über das Windows-Update läuft, denn wenn man bspw. im Gerätemanager auf “Treiber aktualisieren” klickt, kommt keine Meldung, dass neue Versionen verfügbar sind. Auf der Dell-Seite aber finde ich 22 Aktualisierungen für den Computer, nicht nur Bios, auch diverse andere, z.B. “Dienstprogramm für Firmwareupdates für Intel Thunderbolt Controller” oder “Intel Chipset Device Software”. Ich bin mir jetzt unsicher, ob ich al diese downloaden soll. Ich dachte eben, das wird alles über die Windows-Updatefunktion geregelt.
Hängt vom Hersteller ab. Manche integrieren mit Windows Update, manche haben ihr eigenes Programm, manche erwarten Handarbeit. „Dienstprogramm“ klingt nicht danach, dass es automatisch ist.
Es gibt durchaus auch Anbieter, die beides machen (z.B. Dell, Acer). Da gibt es das eigene Programm (bei Dell sogar zwei verschiedene) und die Integration in Windows Update.
@DwainZwerg Dell scheint ja aber bei der Version über Windows Update eben nicht die neuesten Versionen bereitzustellen, denn auf deren Website sind ja mehrere neuere zu finden.
Würdest Du bei Dell trotzdem “nur” über das Windows Update gehen, oder würdest Du zur Installation des “Dell Update”-Programes raten? Bin mir unsicher, was das alles für Daten sammelt…
Niemand hat bisher https://github.com/fwupd/fwupd / https://fwupd.org/ erwähnt. Funktioniert teilweise recht gut unter Linux, der Rest mache ich manuell.
Wofür machst Du denn da dort alles Updates? (Also eben nicht das OS und SW, sondern HW.)
Alles was von Lenovo (und zusatz Hardware wie WLAN Dongle) kommt (ich nutze einen ThinkPad E14 Gen 6). Einmal sagte fwupd er könnte das BIOS nicht updaten, ich sollte es manuell machen. Das hatte ich dann gemacht.
Ja, schon. Aber was denn konkret? TIA!
Ich selbst habe z.B. in der Vergangenheit lediglich BIOS-Updates erhalten. Und ich wüsste in meinem Falle auch nicht, was darüber hinaus gehen sollte: nicht allzu viel verbaute HW — in einem Desktop-PC! —, und die tatsächliche ohne weitere Updates laut Angaben bei den Herstellern/Anbietern.
Grafik-, WLAN-, Bluetoothkartentreiber?!
OK. Danke!
Aber zum Verständnis: die sollen Firmware ODER Treiber Updates erhalten?
(Treiber sind doch bei Linux z.B. i.d.R. über den Kernel abgedeckt. Außer vielleicht der Grafik… Aber das ist bei mir bloß die interne von CPU.)
Ja, er meint wohl Firmware.
1 „Gefällt mir“
Nein. Ich habe den gleichen Kenntnisstand.
Mir ging es bei meiner Antwort im Prinzip um das folgende (ich zitiere mal deinen Artikel):
Ins Inventar gehören auch alle Geräte im Netzwerk wie z.B. eine Fritzbox.
D.h. wenn ich meine Geräte daheim immer up to date halten will, dann muss ich alle Geräte betrachten, d.h. auch Netzwerkkomponenten, Drucker, … Betrachtest du auch dies mit changedetection?
1 „Gefällt mir“
bei der Fritzbox gibt es drei Möglichkeiten:
- automatische Updates konfigurieren (drei Stufen)
- Changedetection - nur ändert sich die Seite von fritz auch wenn es neue Modelle gibt - eher lästig. Kann man evtl. wegfiltern, aber derartige Filter hab ich bisher nur für github.
- Updates von fritz werden idR auch über heise security kommunziert. Wer das abonniert braucht nicht auch noch changedetection.
Einen Drucker für Papier habe ich schon 15 Jahre nicht mehr, aber gäbe es einen würde ich mir überlegen, welche Relevanz er für meine Sicherheit hat und entsprechend behandeln, also - bei den Trends der letzten Jahre.. Schwachstellen ohne Ende und Trend zu Cloud-Abhängigkeiten - wahrscheinlich abschaffen statt das Risiko akzeptieren.
Sinngemäß gilt das für alle Geräte die eine Verbindung mit meiner IT haben, aber Drucker würde ich unter Windows oder mit Cloud tatsächlich als kritisch einstufen.